Content Security Policy (CSP) - XSS ...

21.10.2016 01:08 | Přečteno: 1613× | Žumpa | poslední úprava: 21.10.2016 01:23

Pár kecov o tom, keď už sme všetci napojený do internetu a webové aplikácie píšu céčkari a podobný analfabeti webových technológií, ako zvýšiť šancu, že zrovna ten váš projekt niekto neprelomí nejakou detskou chybou. Nepoviem žiadnu novinku, že neexistuje CMS ktoré by netrpelo detskými chybami, ale ja si kľadiem otázku, pokiaľ tomu tak je, prečo ako prý bod v návodoch nieje, používajte technológie ktoré to spravia za vás ak tam zanecháte bug. Toto by malo byť v návodoch vyznačené červenou fabou.
Čo je prekvapivé že na najznámejší "Reflected XSS" spravili obranu v prehliadačoch len Chrome a MSIE. V čom spočíva? Tak je to klassika, stačí do nefiltrovannej premmenej poslať reťazec napr.:

http://domain.cz?data="><script>alert(document.cookie)</script>

a domyslite si náledky ako "mierne upravený" skript odosiela sešny na útočníkov email. FireFox to zatiaľ neadoptoval a môžete kľudne vyháčkovať aj tento server.

Prv než začnete nadávať na FF, tak oni zas medzi prvými zavádzali politiku bezpečnosti skriptov ktorá sa vtedy ešte neujala, ale dnes už to je štandart ktorý sa nazýva Content Security Policy (skrátene CSP).

Ako to už býva u webových technológií zvykom, prechod nieje jednoduchý.

Problémy ktoré budete musieť riešiť

• Musíme nahradiť všetky události ako onClick, onLoad... za document.addEventListener ...
• Interné skripty budú fungovať len s vygenerovaným kódom, alebo hashom
• Externé skripty musíme explicitne povoliť
• Potrebné je povoliť aj lokality načítavania obrázkov
• CSS sa tiež načítava len z povolených lokalít
• Ak používate objekty, zas ich treba povoliť

Za odmenu dostaneme bezpečnú aplikáciu, kde aj keď sme lempl, tak vložený skript proste nikto nespustí, alebo šanca sa blíži nule, napríklad uhádnuť 128bit nonce na jeden pokus, pretože sa pri každom pokuse vygeneruje nová, je skoro nemožné, ale nikomu nieje zabránené použiť viac bitov.

Ako prinútiť prehliadač aby aplikoval túto bezpečnostnú politiku?

Treba mu to poslať v hlavičke, najjedochšie a niekedy aj jediné možné riešenie je to poslať ako META informáciu priamo z kódu, uvediem príklad:

Medzi <head>...</head> vložíte v najjednuchšom prípade
<meta http-equiv="Content-Security-Policy" content="default-src \'self\'>

Čo zabezpečí, že všetko sa bude načítavať len z danej domény a externé skripty sa nespustia. Osobne používam skript ktorý všetky skripty a CSS vloží priamo do kódu, čím sa eliminujú ďalšie TCP požiadavky ktoré sú dosť drahé na čas ale pri CSP tam musím vložiť aj nonce, ktoré generujem náhodne pri každom načítaní stránky cez:

$nonce = base64_encode (random_string (nejaké_číslo_väčšie_ako_nula));

Reťazec je prehananý cez base64, pretože je to WEB SAFE, alebo ľudsky povedané prehliadače akceptujú hocičo, ale keď to je v base64, tak nevyhadzujú ani upozornenia, žeby mohlo byť niečo zle. Oni to píšu len do konzoly a ak ju nemáte zapnutú, tak si toho ani nevšimnete.

Takže ako to robím ja. Softvér načíta skripty a vloží ich priamo do kódu, no namiesto:

<script>
   // kód
</script>

a odkazy na skripty:

<script src="moj_skript.js"></script>

vloží do hlavičky:

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'nonce-Wm5ZdzZqWTVqN1VVaTl4cA=='>

a skript vloží medzi:

<script nonce="Wm5ZdzZqWTVqN1VVaTl4cA==">
   // kód
</script>

Je možné namiesto nonce použiť aj HASH skriptu, nepoužívam to a nepokladám to za tak bezpečné ako "nonce" a má to trochu aj iné problémy, ale to si nájde v dokumentácií, alebo začnite na wikipedii.

Toto je skôr nástrel ako konkrétny návod, tak ak chcete vedieť viac kľudne sa pýtajte v komentároch.        

Tiskni Sdílej:

Komentáře

Vložit další komentář

Založit nové vlákno • Nahoru